fin

Publié le : 2017-07-28

Image de la publication
SERVICE PUBLIC FEDERAL INTERIEUR

18 JUILLET 2017. - Arrêté royal relatif à l'exécution de la loi du 25 décembre 2016 relative au traitement des données des passagers, reprenant les obligations pour les compagnies aériennes



RAPPORT AU ROI
Sire,
Le projet d'arrêté que nous avons l'honneur de soumettre à la signature de Votre Majesté est adopté conformément aux articles 3, § 2, 7, § 3, 54 et 55 de la loi du 25 décembre 2016 relative au traitement des données des passagers.
La loi du 25 décembre 2016 transpose presque totalement la Directive du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité ainsi que les enquêtes et les poursuites en la matière. Pour transposer entièrement cette Directive, un arrêté royal est nécessaire pour déterminer les autres règles relatives aux obligations imposées aux compagnies aériennes ainsi que l'entrée en vigueur de ces obligations. Le premier chapitre contient une disposition générale stipulant le présent arrêté transpose partiellement la Directive API et la Directive PNR.
Plusieurs définitions des termes apparaissant dans le présent arrêté royal ont été reprises dans le deuxième chapitre. En ce qui concerne la définition des documents d'identité, on remarque que sont visés les documents d'identité qui sont acceptés dans les différents pays et qui sont émis par les autorités de ces pays.
Le troisième chapitre comprend d'une part la clarification de l'obligation reprise à l'article 5 de la loi de collecter les données visées à l'article 29, § 2, de la loi (c'est-à-dire les données API), des passagers qui entrent ou sont entrés sur le territoire par les frontières extérieures, qui quittent ou ont quitté le territoire par les frontières extérieures et qui passent ou sont passés par une zone transitoire située sur le territoire (les vols extra-Schengen), en exécution de la Directive API du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers.
Ce chapitre précise d'autre part la méthode et les moments durant lesquels les données des passagers, dont les compagnies aériennes disposent à ces moments, sont transférées vers la banque de données des passagers. Cela n'empêche d'aucune manière les réservations de dernière minute et les changements de dernière minute, puisque l'information la plus actuelle est envoyée lors du deuxième transfert.
Ensuite, exécution est donnée à l'obligation reprise à l'article 7, § 1er de la loi, pour vérifier la concordance entre l'identité et les documents de voyage du passager: le contrôle de conformité. Le contrôle de conformité, décrit à l'article 4 du présent arrêté royal, vise à vérifier si la personne qui dispose du document de voyage pour un transport précis est effectivement la personne qui monte à bord de l'avion. Ceci se fera en comparant le nom et le prénom mentionnés sur le document de voyage avec le nom et le prénom sur le document d'identité. Le transfert des données des passagers et le traitement de celles-ci n'ont aucun sens s'il n'existe aucune certitude que les passagers sont bien montés à bord de l'avion. L'exécution du contrôle de conformité contribue à l'exactitude des données.
Enfin, si les compagnies aériennes constatent que les données visées à l'article 9, § 1er, 18° de la loi dont elles disposent, ne sont pas actuelles, pas exactes ou incomplètes, elles prennent les mesures nécessaires afin de corriger ces données au plus tard au moment du deuxième transfert. Il faut entendre par données des passagers comme visées à l'article 9, § 1er, 18° de la loi, les données énumérées à l'article 9, § 2 de la loi, à savoir les données d'enregistrement et d'embarquement, transférées par les compagnies aériennes lorsqu'elles en disposent. Les données visées à l'article 9, § 1er, 18°, visent aussi les champs similaires repris dans le même paragraphe (comme le nom et le prénom à l'article 9, § 1er, 4° de la loi).
Les dispositions reprises dans le quatrième chapitre, relatif aux modalités de la transmission des données des passagers (les formats de données, les protocoles communs ainsi que la protection des données), concernent la transposition des dispositions reprises à ce sujet dans la Directive susmentionnée.
Les compagnies aériennes ont, pour le deuxième push, le choix par l'article 6 entre plusieurs possibilités, dans le cas où les données des passagers contenues dans le deuxième push ne sont pas identiques à celles contenues dans le premier push.
La Commission européenne a fixé dans la Décision d'exécution (UE) 2017/759 du 28 avril 2017 les formats de données et les protocoles communs via lesquels les données des passagers doivent être transmises. Un an après la publication de cet arrêté d'exécution, les données des passagers doivent être transmises via ces formats de données et protocoles communs. Dans cet arrêté royal, pour ce qui est des formats de données et des protocoles communs, un renvoi est fait à la Décision d'exécution de la Commission européenne.
Les transporteurs aériens qui n'exploitent pas de vols selon un horaire public précis et qui ne disposent pas de l'infrastructure technique leur permettant d'utiliser les formats de données et les protocoles communs mentionnés au § 1er de l'article 7, sont dispensés, conformément au § 3 du même article, de l'obligation d'utiliser ces formats et protocoles. Le cas échéant, un accord sur les moyens électroniques à utiliser doit être trouvé, afin de garantir un niveau satisfaisant de sécurité pour le transfert de données des passagers par les transporteurs.
De plus, le cinquième chapitre stipule que la transmission des conditions de sécurité doit se faire conformément aux conditions de sécurité appropriée. Les conditions de sécurité seront reprises dans le document « Directives techniques » qui sera transmis aux compagnies aériennes. Une fois que les compagnies aériennes auront reçu les directives techniques, elles pourront procéder à la transmission des données des passagers.
Plusieurs dispositions diverses sont reprises dans le dernier chapitre, notamment en ce qui concerne l'arrêté royal du 11 décembre 2006, l'entrée en vigueur de l'article 53 de la loi qui annule le quatrième alinéa de l'article 32 de la loi du 27 juin 1937 portant la révision de la loi du 16 novembre 1919 relative à la règlementation de la navigation aérienne, ainsi qu'à l'entrée en vigueur du présent arrêté royal.
Nous avons l'honneur d'être,
Sire,
de Votre Majesté
les très respectueux et très fidèles serviteurs,
Le Ministre de la Sécurité et de l'Intérieur,
J. JAMBON
Le Ministre de la Mobilité,
Fr. BELLOT

18 JUILLET 2017. - Arrêté royal relatif à l'exécution de la loi du 25 décembre 2016 relative au traitement des données des passagers, reprenant les obligations pour les compagnies aériennes
PHILIPPE, Roi des Belges,
A tous, présents et à venir, Salut.
Vu l'article 108 de la Constitution;
Vu la loi du 25 décembre 2016 relative au traitement des données des passagers, les articles 3, § 2, 7, § 3, 54 et 55;
Vu l'arrêté royal du 11 décembre 2006 concernant l'obligation pour les transporteurs aériens de communiquer les données relatives aux passagers;
Vu l'avis de l'inspecteur des Finances, rendu le 24 mars 2017;
Vu l'accord du Ministre du Budget, rendu le 29 mars 2017;
Vu l'association des gouvernements des Régions;
Vu l'avis n° 23/2017 de la Commission de la protection de la vie privée rendu le 24 mai 2017;
Vu l'avis 61.355/4 du Conseil d'Etat, donné le 12 juin 2017, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois coordonnées sur le Conseil d'Etat;
Vu l'article 8 de la loi du 15 décembre 2013 portant des dispositions diverses en matière de simplification administrative, le présent arrêté royal est exempté d'analyse d'impact de la réglementation, s'agissant de dispositions traitant de la sécurité nationale et de l'ordre public;
Sur la proposition du Vice-Premier Ministre et Ministre de la Sécurité et de l'Intérieur et du Ministre de la Mobilité et de l'avis de nos Ministres qui en ont délibéré en Conseiln
Nous avons arrêté et arrêtons :
CHAPITRE 1er. - Disposition générale
Article 1er. Le présent arrêté transpose partiellement la Directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers, et la Directive 2016/681 de 27 avril 2016 du Parlement européen et du Conseil relative à l'utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.
CHAPITRE 2. - Définitions
Art. 2. Pour l'application du présent arrêté, il faut entendre par :
1° "la loi": la loi du 25 décembre 2016 relative au traitement des données des passagers;
2° "compagnies aériennes": entreprises de transport aérien possédant une licence d'exploitation en cours de validité ou l'équivalent lui permettant d'assurer le transport par voie aérienne de passagers visé à l'article 4, 3° de la loi;
3° "documents d'identité": documents, établis par une autorité officielle, sur base desquels l'identité des passagers peut être définie, à savoir les cartes d'identité nationales, les passeports internationalement reconnus ou les documents remplaçants légaux;
4° "documents de voyage": documents qui octroient au passager un titre pour le transport visé à l'article 4, 3° de la loi;
5° "banque de données des passagers" : banque de données visée à l'article 15, § 1er de la loi;
6° "méthode push" : la méthode par laquelle les transporteurs aériens transfèrent les données PNR vers la banque de données des passagers;
7° "formats des données": formats définis par la Commission européenne via lesquels les données des passagers sont transmises par les compagnies aériennes vers la banque de données des passagers afin que les données soient lisibles pour toutes les parties concernées;
8° "protocoles communs": protocoles définis par la Commission européenne visant à garantir la protection des données des passagers lors de la transmission des compagnies aériennes vers la banque de données des passagers;
9° "décision d'exécution": décision d'exécution (UE) 2017/759 de la Commission du 28 avril 2017 sur les protocoles communs et formats de données devant être utilisés par les transporteurs aériens lors d'un transfert de données PNR aux unités d'information passagers;
CHAPITRE 3. - Obligations des compagnies aeriennes
Art. 3. § 1er. Les compagnies aériennes collectent les données des passagers visées à l'article 29, § 2 de la loi en vue de leur transmission conformément au paragraphe 2.
§ 2 Les compagnies aériennes transfèrent vers la banque de données des passagers par la méthode push toutes les données des passagers, énumérées dans l'article 9, § 1er de la loi, dont elles disposent, aux moments suivants :
1° 48 heures avant l'heure de départ programmée du vol; et
2° immédiatement après la clôture du vol, c'est-à-dire dès que les passagers ont embarqué à bord de l'aéronef prêt à partir et qu'ils ne peuvent plus embarquer ou débarquer.
§ 3 Lorsque l'accès à des données des passagers est nécessaire pour répondre à une menace précise et réelle liée à des infractions terroristes ou à des formes graves de criminalité, les compagnies aériennes transfèrent, au cas par cas, des données des passagers à d'autres moments que ceux mentionnés au paragraphe 2, à la demande de l'U.I.P.
Art. 4. Dans la cadre du transfert des données des passagers visé à l'article 3, § 2, les compagnies aériennes contrôlent, en exécution de l'article 7, § 1er de la loi, au moment où les passagers montent à bord de l'avion, si l'identité de chaque passager, comme indiquée sur son document d'identité, et ses données personnelles, comme indiquées sur son document de voyage, correspondent.
Art. 5. Si les compagnies aériennes constatent que les données des passagers visées à l'article 9, § 1er, 18° de la loi dont elles disposent ne sont pas actuelles, pas exactes ou pas complètes, elles prennent les mesures nécessaires afin de corriger ces données au plus tard au moment du transfert visé à l'article 3, § 2, 2°.
CHAPITRE 4. - Modalités de transmission des donnees des passagers
Art. 6. § 1er. Si les données des passagers envoyées lors du transfert visé à l'article 3, § 2, 2° sont identiques aux données des passagers envoyées lors du transfert visé à l'article 3, § 2, 1°, la compagnie aérienne peut soit transférer à nouveau toutes les données des passagers, soit se limiter à l'envoi d'un message qui confirme le caractère identique des données des passagers.
§ 2. Si les données des passagers envoyées lors du transfert visé à l'article 3, § 2, 2° ne sont pas identiques aux données des passagers envoyées lors du transfert visé à l'article 3, § 2, 1°, la compagnie aérienne peut soit transférer à nouveau toutes les données des passagers, soit limiter le transfert visé à l'article 3, § 2, 2° aux mises à jour du transfert visé à l'article 3, § 2, 1°.
Art. 7. § 1. Les compagnies aériennes envoient les données des passagers à l' U.I.P. par voie électronique en utilisant l'un des formats de données et les protocoles communs définis par la Commission européenne dans la Décision d'exécution.
§ 2 Les compagnies aériennes informent l'U.I.P. du protocole de transmission et du format de données qu'elles souhaitent utiliser lors de la transmission des données des passagers vers la banque de données des passagers.
§ 3. Les compagnies aériennes qui exploitent des vols sans un horaire public précis et qui ne disposent pas de l'infrastructure nécessaire pour prendre en charge les formats de données et les protocoles communs visés au paragraphe 1 transfèrent les données des passagers par des moyens électroniques qui offrent des garanties suffisantes concernant les mesures de sécurité techniques et qui sont convenus de manière bilatérale.
Art. 8. § 1er. Les compagnies aériennes assurent l'organisation technique de la transmission des données des passagers visée à l'article 7 de la loi et ce, jusqu'au point d'accès de la banque de données des passagers. Elles garantissent la transmission de ces données conformément aux conditions de sécurité décrites dans le document `Directives techniques', visé au paragraphe 2.
§ 2 L'U.I.P. émet le document `Directives techniques', après avis du délégué à la protection des données, dans lequel les modalités techniques relatives à la transmission des données des passagers sont décrites. Ce document est communiqué aux compagnies aériennes afin de pouvoir entamer la transmission de données des passagers.
Art. 9. En cas de perturbation technique, les compagnies aériennes utilisent d'autres moyens appropriés qui garantissent un niveau approprié de protection des données pour envoyer les données des passagers, après une concertation avec l'U.I.P. à ce sujet.
CHAPITRE 5. - Diverses dispositions
Art. 10. L'arrêté royal du 11 décembre 2006 concernant l'obligation pour les transporteurs aériens de communiquer les données relatives aux passagers est abrogé.
Art. 11. L'article 53 de la loi entre en vigueur le même jour que le présent arrêté royal.
Art. 12. En ce qui concerne les compagnies aériennes, la loi entre en vigueur le même jour que le présent arrêté royal.
Art. 13. Le ministre compétent pour la Sécurité et l'Intérieur et le Ministre de la Mobilité sont, chacun en ce qui le concerne, chargé de l'exécution de cet arrêté.
Donné à Bruxelles, le 18 juillet 2017.
PHILIPPE
Par le Roi :
Le Ministre de la Sécurité et de l'Intérieur,
J. JAMBON
Le Ministre de la Mobilité,
Fr. BELLOT


debut

Publié le : 2017-07-28